2 IP i przekierowanie portów

[MaTyyy 2]

Witam wszystkich użytkowników WHT.pl :]

 

Mam pytanie, czy istnieje możliwość przekierowania portu np 80 gdy maszyna ma 2 IP na np port 90 jeśli ktoś wchodzi z 1 IP? Prościej chyba będzie na przykładzie:

JA - łączę się z maszyną za pomocą IP 255.255.255.255 i port 9987 mam przekierowany na 9999

KTOŚ - łączy się z maszyną za pomocą IP 255.255.255.256 i port 9987 ma przekierowany na 9989

 

Czy jest taka możliwość? Moja maszyna jest utrzymywana w OVH.

[Gość Kamikadze]

Tak da się, ale oczywiście nie na takich IP haha

[Kamil Szymański 3]

Jak zapewne nie zauważyłeś adres ip są przykładowe. No tak, trzeba mieć te sokole oko.

[Gość Kamikadze]

Wiem że przykładowe

 

Dobra już rzucę ci linkami hehe:

 

http://blog.softlayer.com/2011/iptables-tips-and-tricks-port-redirection/

https://www.google.pl/#hl=pl&output=search&sclient=psy-ab&q=iptables+port+redirect&oq=iptables+port+redirect&gs_l=hp.3..0l3j0i30l7.9800.18088.1.18301.26.18.2.6.6.1.355.4036.0j8j7j3.18.0...0.0...1c.1.7.hp.UCv7fC5Blp8&psj=1&bav=on.2,or.r_qf.&bvm=bv.44442042,d.ZWU&fp=2df7f7a5f096cfb4&biw=1280&bih=855

[MaTyyy 2]

Owszem, te ip były przykładowe A macie jakieś przykłady takich przekierowań ?

 

--

Edit

Dzięki za linki. Mam teraz problem, mam taki kod:

iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to-destination ip2maszyny:80

 

Lecz niestety to nie działa, łączę się z moją domeną i nic się nie wyświetla poza tym, że nie udało się połączyć ze stroną.

Edytowano Marzec 28, 2013 przez MaTyyy (zobacz historię edycji)

[mraw 30]

Ja bym spróbował tak:

iptables -t nat -A PREROUTING -p tcp --dport 81 -j REDIRECT --to-destination ip2maszyny:80

 

[MaTyyy 2]

Niestety błąd.

 

 iptables v1.4.8: unknown option `--to-destination'
 

 

[mraw 30]

Przepraszam, ale wprowadziłem cię w błąd, to co wkleiłeś jest poprawne.

Ponieważ przekierowujesz z jednego portu na nowy adres ip z innym portem potrzebny jest jeszcze drugi wpis, który odwraca to w przeciwną stronę:

 

iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to-destination ip2maszyny:80
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE

 

 

[nesti 67]

Najczęściej po prostu używa się domen, i przekierowań domena.pl > p9987, sub.domena.pl p9988 itd. zainteresuj się TSDNS server. Co do IP, z iptables to raczej Ci nie zadziała. Jak masz 2 ip to możesz też na każdym z osobna odpalić po instacji ts3.

[Pan Kot 1535]

TSDNS to rozwiązanie software'owe. Owszem działa, ale tylko dla tej usługi. Jeśli natomiast chcesz się zainteresować rozwiązaniami uniwersalnymi to zainteresuj się wpisami SRV w DNS. Działa o wiele lepiej niż jakikolwiek daemon na maszynie czy przekierowania iptables.

[MaTyyy 2]

@mraw Twoje rozwiązanie niestety nie działa.

@nesti Porty TeamSpeaka są przykładowe

@Archi Mógłbyś podać przykład takiego wpisu? Znalazłem coś na Wikipedii, ale niezbyt to rozumiem, chciałbym przekierować port javy minecraft'a oraz nginx'a.

[Pan Kot 1535]

Przykładowo dla TS'a:

 

_ts3._udp.teamspeak.com. 86400 IN SRV 0 5 9987 voice.teamspeak.com.

 

Spytasz co to robi. Już odpowiadam. Przekierowuje ruch UDP lecący portem 9987 do teamspeak.com na port 9987 UDP voice.teamspeak.com. Działa to jako taki "redirect", ale tylko pomiędzy hostname'ami i tylko pomiędzy tymi samymi portami.

 

Przykładowo jeśli mamy stronę mojastrona.pl z polem A => 1.2.3.4 oraz stronę ts.mojastrona.pl z polem A => 8.9.8.9 to wpis wyglądałby tak:

 

_ts3._udp.mojastrona.pl. 86400 IN SRV 0 5 9987 ts.mojastrona.pl

 

I jeśli user spróbuje przez TS'a połączyć się z mojastrona.pl to wrzuci go na ts.mojastrona.pl (a zauważ, że mamy tu 2 różne IP).

 

Jeśli chodzi natomiast o wymuszoną zmianę portu do bez pośredniczenia się rulesami iptables może być ciężko. DNS umożliwia co najwyżej takie wpisy jak te wyżej. Ale można zrobić jakiś fajny workaround i rzucać userów na jakieś redirect-to.mojastrona.pl.

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[MaTyyy 2]

Czyli jedynym ratunkiem dla mnie jest IPTables i tego chciałbym się trzymać, lecz nie rozumiem za nic czemu podane przez mrawa regułki za chiny nie chcą działać... Skopiowałem nawet FireWall z poprzedniego dedyka Kimsufi na którym działały przekierowania portowe lecz po wrzuceniu ich na ovh nie śmigają :/ Znacie może jakieś rady?

[Gość Kamikadze]

A sam iptables ci działa?

[Pan Kot 1535]

Czyli jedynym ratunkiem dla mnie jest IPTables i tego chciałbym się trzymać, lecz nie rozumiem za nic czemu podane przez mrawa regułki za chiny nie chcą działać... Skopiowałem nawet FireWall z poprzedniego dedyka Kimsufi na którym działały przekierowania portowe lecz po wrzuceniu ich na ovh nie śmigają :/ Znacie może jakieś rady?

 

Jądro? Moduły?

[MaTyyy 2]

Jeśli chodzi o jajeczko to jest od OVH i raczej nie da rady tego zmienić, co do modułów to raczej chyba by wywaliło błąd o braku jakiegoś modułu, a tu nic. Sam IPTables śmiga.

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[kafi 2425]

Spytasz co to robi. Już odpowiadam. Przekierowuje ruch UDP lecący portem 9987 do teamspeak.com na port 9987 UDP voice.teamspeak.com. Działa to jako taki "redirect", ale tylko pomiędzy hostname'ami i tylko pomiędzy tymi samymi portami.

Buahahahaha! Ale brednie! Przecież to NIC nie przekierowuje.

To informuje klienta (który MUSI WSPIERAĆ ODPYTYWANIE REKORDÓW SRV), że usługa Teamspeak dla domeny teamspeak.com jest realizowana przez serwer voice.teamspeak.com. A to, czy klient wogóle pobierze ten rekord to kwestia tylko i wyłącznie implementacji srv lookup w kliencie, a nie jakichś magicznych przekierowań ruchu.

 

A wasze zapodane rozwiązania nie działają z prostego powodu. Po pierwsze - Teamspeak działa (chyba) na UDP, a wy robicie dnat ruchu przychodzącego TCP, no a po drugie to pytanie jest, co dzieje się z ruchem wychodzącym (z-serwera). Ciekawe, którym IP wyjdą datagramy udp

Edytowano Marzec 31, 2013 przez kafi (zobacz historię edycji)

[Pan Kot 1535]

@kafi

Czy naprawdę użytkownikowi, który szuka rozwiązania swojego problemu muszę tłumaczyć jak działa DNS i jak userzy z niego korzystają? Czy naprawdę muszę pisać długą implementację na kilkadziesiąt linijek, żeby w konsekwencji user wiedział dokładnie jak to się dzieje? Czy my przepraszam jesteśmy na wykładzie z sieci czy na forum WHT?

 

Ja wychodzę z założenia wskazania drogi "gdzie szukać", a nie pisania pracy naukowej nt. moich porad, wystarczy że wskazałem drogę SRV, @samu ją uzupełnił i wszyscy są szczęśliwi (zresztą sam mu reputację za to dałem). Ale jak widać admin kafi się oburzył, że odpytywanie nazwałem przekierowaniem .

[kafi 2425]

Nie musisz tłumaczyć i wykładać teorii działania sieci, bo to faktycznie użytkownikowi nie potrzebne.

Ale jak masz produkować wyjaśnienia błędne merytorycznie to nie pisz ich wcale. Kropka.

 

Poza tym - to wcale nie rozwiązałeś problemu klienta, którego problemem jest to, że dNATuje sobie port tcp zamiast udp.

 

iptables -t nat -A PREROUTING -p udp --dport 7899 -j DNAT --to-destination 1.2.3.4:9987

[MaTyyy 2]

Nic to i tak nie dało, żadnego błędu, ani nic. Dam sobie spokój... Dziękuję wszystkim za pomoc, ale nie mogę dać reputacji bo nie mam ilości postów.